Care este principala diferență dintre NIS2 și DORA în ceea ce privește managementul riscurilor asociate furnizorilor?

Deși ambele impun o supraveghere robustă a furnizorilor, DORA se aplică sectorului financiar și este foarte prescriptiv în privința riscului asociat terților TIC, impunând clauze contractuale specifice, analiza riscului de concentrare și drepturi de acces pentru autoritățile de reglementare. NIS2 se aplică mai larg entităților „esențiale” și „importante”, solicitând o abordare bazată pe risc pentru securizarea întregului lanț de aprovizionare, fără a fi la fel de granulară ca DORA în privința termenilor contractuali specifici.

Este suficient certificatul ISO/IEC 27001:2022 al unui furnizor pentru a demonstra că acesta este securizat?

Nu. Deși un certificat ISO/IEC 27001:2022 este un indicator pozitiv al unui program de securitate matur, acesta nu înlocuiește propria verificare prealabilă. Reglementări precum DORA și NIS2 vă cer să evaluați riscurile specifice serviciilor pe care furnizorul vi le prestează. Trebuie să verificați controalele sale, să revizuiți rapoartele de audit pentru excepții și să vă asigurați că acordurile contractuale conțin clauze specifice privind notificarea încălcărilor de securitate, drepturile de audit și gestionarea securizată a datelor.

Cât de des ar trebui auditați furnizorii cu risc ridicat?

Pentru furnizorii cu risc ridicat și pentru furnizorii critici, auditurile nu trebuie să fie evenimente punctuale. Este necesară o abordare de monitorizare continuă. Aceasta include o revizuire formală și aprofundată cel puțin anual sau ori de câte ori apar schimbări semnificative ale serviciului. Revizuirea trebuie completată cu analize trimestriale ale dovezilor furnizorului, cum ar fi rapoarte SOC 2 și scanări de vulnerabilitate, precum și cu monitorizarea în timp real a posturii de securitate și a oricăror incidente publice.

Ce sunt riscurile asociate părților de rangul patru sau riscurile din aval și de ce sunt critice?

Riscurile asociate părților de rangul patru sunt riscurile introduse de furnizorii furnizorului dumneavoastră, respectiv subcontractori sau persoane subîmputernicite. Dacă furnizorul dumneavoastră de cloud utilizează o companie terță de analiză a datelor, compromiterea acelei companii ar putea avea impact asupra datelor dumneavoastră. Autoritățile de reglementare se așteaptă să aveți vizibilitate asupra acestor dependențe din aval pentru furnizorii critici. Contractele trebuie să impună furnizorilor aplicarea standardelor dumneavoastră de securitate asupra subcontractorilor lor și notificarea oricăror modificări.

Care este cel mai important element care trebuie inclus într-un contract cu un furnizor cu risc ridicat?

Clauza privind dreptul de audit este, probabil, cea mai critică. Această clauză vă acordă contractual dreptul de a verifica controalele de securitate ale furnizorului, fie direct, fie printr-un terț. Fără aceasta, toate angajamentele sale de securitate se bazează doar pe încredere. Clauza este principalul instrument prin care depășiți chestionarul și colectați dovezi concrete și sustenabile privind postura de securitate a furnizorului.

NIS2 DORA Supplier Management Risk Management

Dincolo de chestionar: ghidul definitiv al CISO pentru auditarea furnizorilor cu risc ridicat în contextul NIS2 și DORA

Clarysec AI Editor

November 15, 2025

18 min read

#Riscul asociat terților #Audit #ISO 27001 #Conformitate #SMSI #Răspuns la incidente

Diagramă de flux pentru auditarea furnizorilor cu risc ridicat, care detaliază un ciclu de viață în 4 etape, de la evaluarea inițială a riscurilor și revizuirea contractuală până la monitorizarea continuă, auditurile tehnice și păstrarea evidențelor de reglementare pentru conformitatea cu NIS2 și DORA.

Raportul a ajuns pe biroul Mariei Valen, CISO, cu un zgomot surd, dar senzația a fost mai degrabă cea a unei sirene. Era evaluarea de preaudit pentru viitoarea revizuire a conformității cu DORA, iar o singură linie era evidențiată cu roșu intens: „Asigurare insuficientă pentru furnizorul terț critic, CloudSphere.”

CloudSphere nu era un furnizor oarecare. Era coloana vertebrală a noii platforme de banking digital a companiei, care procesa zilnic milioane de tranzacții. Maria avea la dosar certificatul ISO/IEC 27001:2022 al furnizorului. Avea și chestionarul de securitate completat, un document masiv cu 200 de întrebări. Însă echipa de preaudit semnala că, pentru un furnizor critic cu risc ridicat, conformitatea prin simpla bifare nu mai era suficientă. Regulile se schimbaseră.

Odată cu intrarea deplină în vigoare a Directivei NIS2 și a Regulamentului privind reziliența operațională digitală (DORA), autoritățile de reglementare privesc dincolo de dosarul de conformitate. Acestea solicită dovezi concrete privind verificarea prealabilă, monitorizarea continuă și o guvernanță robustă asupra întregului lanț de aprovizionare. Provocarea Mariei este aceeași cu care se confruntă CISO de pretutindeni: cum depășești chestionarul pentru a audita și securiza în mod real cei mai critici furnizori? Este necesară o schimbare strategică, de la validarea pasivă la asigurarea activă, bazată pe dovezi.

Deficiența chestionarului static într-o lume dinamică

Ani la rând, chestionarul de securitate a fost elementul central al managementului riscurilor asociate terților. Însă acesta reprezintă o fotografie statică într-un peisaj al amenințărilor aflat în permanentă schimbare. Profilul de risc al unui furnizor nu este fix; acesta evoluează cu fiecare amenințare nouă, schimbare de sistem sau subcontractor integrat. A te baza exclusiv pe autoatestare pentru un furnizor critic precum CloudSphere este ca și cum ai naviga prin furtună folosind harta meteo de anul trecut.

Directiva NIS2 solicită explicit o abordare bazată pe risc, cerând ca măsurile de securitate să fie proporționale cu riscurile reale. Aceasta înseamnă că un chestionar universal este fundamental nealiniat la așteptările moderne de reglementare. Au trecut vremurile în care un certificat sau o listă de verificare completată putea înlocui dovezile. Riscul real se află dincolo de documente.

Aici devine esențială o abordare structurată, bazată pe ciclul de viață. Nu este vorba despre abandonarea chestionarelor, ci despre completarea lor cu verificări mai aprofundate și mai intruzive pentru furnizorii care contează cu adevărat. Acesta este principiul de bază inclus în Politica de securitate privind terții și furnizorii Clarysec. Unul dintre obiectivele sale fundamentale este:

„Solicitarea unei verificări prealabile formale și a unor evaluări de risc documentate înainte de angajarea unor furnizori noi sau de reînnoirea acordurilor de servicii cu risc ridicat.”
Din secțiunea „Obiective”, clauza politicii 3.3

Această clauză schimbă perspectiva de la o simplă verificare la o investigație formală, un prim pas esențial în construirea unui program sustenabil, capabil să reziste examinării autorităților de reglementare.

Riscul asociat furnizorilor în NIS2 și DORA: noile așteptări

Atât NIS2, cât și DORA impun organizațiilor să identifice, să evalueze și să monitorizeze continuu riscurile la nivelul întregului ecosistem de furnizori. Acestea transformă managementul furnizorilor dintr-o funcție de achiziții într-un pilon central al rezilienței operaționale și al securității informației.

Noul climat de reglementare impune cadre clare, mapate riguros la standarde consacrate precum ISO/IEC 27001:2022. Mai jos este prezentat un rezumat la nivel înalt al așteptărilor acestor cadre față de programul dumneavoastră de guvernanță a furnizorilor:

Cerință	NIS2	DORA	Controale ISO/IEC 27001:2022
Evaluarea riscurilor asociate furnizorilor	Article 21(2)(d)	Articles 28–30	5.19, 5.21
Clauze contractuale de securitate	Article 21(3), Article 22	Article 30	5.20
Monitorizare continuă	Article 21, Article 22	Articles 30, 31	5.22
Managementul vulnerabilităților și răspuns la incidente	Article 23	Article 9, 11	5.29, 8.8

Un program robust de audit al furnizorilor nu trebuie construit de la zero. Cadrul ISO/IEC 27001:2022, în special controalele din Anexa A, oferă un model solid. La Clarysec, ghidăm clienții să își construiască programul în jurul a trei controale interconectate, care formează un ciclu complet de guvernanță a furnizorilor.

Construirea unui cadru de audit sustenabil: ciclul de viață ISO 27001:2022

Pentru a construi un program care răspunde cerințelor autorităților de reglementare, aveți nevoie de o abordare structurată, bazată pe un standard recunoscut la nivel global. Controalele de securitate a furnizorilor din ISO/IEC 27001:2022 oferă un ciclu de viață pentru gestionarea riscului asociat terților, de la inițiere până la încetarea relației. Să vedem cum poate Maria utiliza acest ciclu pentru a construi un plan de audit defensabil pentru CloudSphere.

Pasul 1: Fundamentul - securitatea informației în relațiile cu furnizorii (5.19)

Controlul 5.19 este punctul strategic de plecare. Acesta impune stabilirea unor procese formale pentru identificarea, evaluarea și gestionarea riscurilor de securitate a informației asociate întregului ecosistem de furnizori. Aici definiți ce înseamnă „risc ridicat” pentru organizația dumneavoastră și stabiliți regulile de lucru.

Zenith Controls: The Cross-Compliance Guide de la Clarysec oferă o analiză detaliată a controlului 5.19, ilustrând rolul său de nod central pentru guvernanța furnizorilor. Acest control este legat intrinsec de controale conexe, precum 5.21 (Securitatea informației în lanțul de aprovizionare TIC), care acoperă componentele hardware și software, și 5.14 (Transferul informațiilor), care reglementează schimbul securizat de date. Nu puteți gestiona eficient o relație cu un furnizor fără a controla și tehnologia pe care acesta o furnizează și datele pe care le partajați.

Pentru Maria, aceasta înseamnă că auditul CloudSphere trebuie să meargă dincolo de profilul de risc corporativ și să analizeze în profunzime securitatea platformei efective furnizate. Ghidul Zenith Controls evidențiază faptul că o implementare solidă a controlului 5.19 sprijină direct conformitatea cu reglementările majore:

NIS2 (Article 21(2)(d)): obligă organizațiile să gestioneze riscul lanțului de aprovizionare ca parte centrală a cadrului lor de securitate.
DORA (Articles 28–30): impune un cadru robust de management al riscului asociat terților TIC, inclusiv clasificarea criticității și verificarea precontractuală.
GDPR (Article 28): cere operatorilor de date să utilizeze doar persoane împuternicite care oferă garanții suficiente pentru protecția datelor.

Acest control impune încadrarea furnizorilor pe niveluri de risc, monitorizarea continuă și revocarea la timp a accesului. Scopul său este să asigure integrarea securității în ciclul de viață al furnizorului, nu adăugarea acesteia ulterior ca măsură secundară.

Pasul 2: Aplicarea - tratarea securității informației în acordurile cu furnizorii (5.20)

O cerință de securitate care nu se regăsește în contract este doar o recomandare. Controlul 5.20 este punctul în care guvernanța devine executorie din punct de vedere juridic. Pentru un furnizor cu risc ridicat, contractul este cel mai puternic instrument de audit.

Așa cum subliniază Zenith Controls, aceste acorduri trebuie să fie explicite. Promisiunile vagi privind „securitatea conform celor mai bune practici din industrie” nu au valoare operațională. Pentru un furnizor precum CloudSphere, Maria trebuie să verifice că acordul include clauze specifice și măsurabile, care oferă organizației sale supraveghere concretă:

Drepturi de audit: o clauză care acordă explicit organizației sale dreptul de a efectua evaluări tehnice, de a revizui dovezi sau de a angaja un terț pentru audit în numele său.
Termene de notificare a încălcărilor de securitate: termene specifice și stricte, de exemplu în termen de 24 de ore de la descoperire, pentru notificarea companiei cu privire la un incident de securitate, nu doar o formulare vagă de tipul „fără întârzieri nejustificate”.
Managementul subcontractorilor și al riscului din aval: o clauză care obligă furnizorul să aplice aceleași standarde de securitate propriilor subcontractori critici și să notifice orice modificare. Aceasta este esențială pentru gestionarea riscurilor din aval.
Strategie de ieșire securizată: obligații clare privind returnarea sau distrugerea certificată a datelor la încetarea contractului.

DORA este deosebit de prescriptiv în această privință. Article 30 enumeră prevederi contractuale obligatorii, inclusiv acces neîngrădit pentru auditori și autorități de reglementare, detalii specifice privind locațiile de prestare a serviciilor și strategii complete de ieșire. Auditorii vor eșantiona contracte ale furnizorilor cu risc ridicat și vor verifica direct existența acestor clauze.

Pasul 3: Bucla continuă - monitorizarea, revizuirea și managementul schimbărilor pentru serviciile furnizorilor (5.22)

Ultima piesă a ciclului de viață este controlul 5.22, care transformă supravegherea furnizorilor dintr-o verificare punctuală într-un proces continuu. Un audit nu ar trebui să fie un eveniment-surpriză, ci un punct de validare într-o relație continuă de transparență.

Aici multe organizații eșuează. Semnează contractul și îl arhivează. Însă, pentru furnizorii cu risc ridicat, activitatea reală începe după integrare. Ghidul Zenith Controls leagă controlul 5.22 de procese operaționale critice precum 8.8 (Managementul vulnerabilităților tehnice) și 5.29 (Securitatea informației în timpul perturbărilor). Aceasta înseamnă că monitorizarea eficientă presupune mult mai mult decât o ședință anuală de revizuire. Ea include:

Revizuirea dovezilor furnizate de terți: obținerea și analizarea activă a rapoartelor SOC 2 Type II, a rezultatelor auditurilor de supraveghere ISO 27001 sau a rezumatelor testelor de penetrare. Esențial este să revizuiți excepțiile și să urmăriți remedierea acestora.
Monitorizarea incidentelor: urmărirea încălcărilor sau incidentelor de securitate divulgate public care implică furnizorul și evaluarea formală a impactului potențial asupra organizației.
Managementul schimbărilor: implementarea unui proces prin care orice schimbare semnificativă a serviciului furnizorului, cum ar fi o nouă locație de centru de date sau un nou subcontractor critic, declanșează automat o reevaluare a riscului.

Zenith Blueprint: An Auditor’s 30-Step Roadmap de la Clarysec oferă îndrumări operaționale în acest sens, în special la pasul 24, care acoperă riscul asociat subcontractorilor. Acesta recomandă:

„Pentru fiecare furnizor critic, identificați dacă utilizează subcontractori sau persoane subîmputernicite care pot accesa datele sau sistemele dumneavoastră. Documentați modul în care cerințele dumneavoastră de securitate a informației sunt transmise acestor părți… Acolo unde este fezabil, solicitați o listă a subcontractorilor-cheie și asigurați-vă că dreptul dumneavoastră de audit sau de obținere a asigurării se aplică și acestora.”

Acesta este un punct esențial pentru Maria. Utilizează CloudSphere o companie terță de analiză a datelor? Este infrastructura sa găzduită într-un cloud public major? Aceste dependențe din aval reprezintă un risc semnificativ, adesea invizibil, pe care auditul ei trebuie să îl evidențieze.

De la teorie la acțiune: planul practic de audit al Mariei pentru CloudSphere

Având la bază acest ciclu de viață ISO 27001:2022, echipa Mariei elaborează un nou plan de audit pentru CloudSphere, care depășește cu mult chestionarul și demonstrează guvernanța matură, bazată pe risc, cerută de autoritățile de reglementare.

Revizuire contractuală: Echipa începe prin maparea contractului existent cu CloudSphere la DORA Article 30 și la bunele practici pentru controlul 5.20. Aceasta creează un raport de analiză a lacunelor pentru a informa următorul ciclu de reînnoire și pentru a prioritiza ariile auditului curent.
Solicitare țintită de dovezi: În locul unui chestionar generic, echipa transmite o solicitare formală pentru dovezi specifice, inclusiv:
- Cel mai recent raport SOC 2 Type II și un rezumat al modului în care au fost remediate toate excepțiile consemnate.
- Rezumatul executiv al celui mai recent test de penetrare extern.
- O listă completă a tuturor subcontractorilor, respectiv părți din aval, care vor prelucra sau accesa datele.
- Dovezi că cerințele de securitate sunt transmise contractual acestor subcontractori.
- Jurnale sau rapoarte care demonstrează aplicarea la timp a patch-urilor pentru vulnerabilități critice, de exemplu Log4j sau MOVEit, în ultimele șase luni.
Validare tehnică: Echipa invocă clauza privind „dreptul de audit” pentru a programa o sesiune tehnică aprofundată cu echipa de securitate CloudSphere. Agenda se concentrează pe playbook-urile de răspuns la incidente, instrumentele de Cloud Security Posture Management (CSPM) și controalele de prevenire a scurgerilor de date.
Gestionarea formală a excepțiilor: Dacă CloudSphere refuză să furnizeze anumite dovezi, Maria este pregătită. Procesul de guvernanță al organizației sale, definit în Politica de securitate privind terții și furnizorii, este clar:

„Excepțiile cu risc ridicat, de exemplu furnizorii care gestionează date reglementate sau susțin sisteme critice, trebuie aprobate de CISO, Juridic și conducerea Achizițiilor și înregistrate în Registrul de excepții al SMSI.”
Din secțiunea „Tratarea riscurilor și excepții”, clauza politicii 7.3

Acest lucru asigură că orice refuz de a furniza dovezi nu este ignorat, ci este acceptat formal ca risc la cele mai înalte niveluri ale organizației, un proces pe care auditorii îl recunosc ca valid.

Perspectiva auditorului: ce vor solicita diferite tipuri de auditori

Pentru a construi un program cu adevărat rezilient, trebuie să gândiți ca un auditor. Diferitele cadre de audit au perspective diferite, iar anticiparea întrebărilor este esențială pentru succes. Mai jos este prezentată o perspectivă consolidată asupra cerințelor pe care diverși auditori le-ar formula atunci când revizuiesc programul dumneavoastră de guvernanță a furnizorilor:

Profilul auditorului	Arie principală de interes și controale	Dovezi solicitate
Auditor ISO/IEC 27001:2022	5.19, 5.20, 5.22	Inventarul furnizorilor cu clasificări de risc; contracte eșantionate pentru furnizori cu risc ridicat, pentru verificarea clauzelor de securitate; înregistrări privind verificarea prealabilă și ședințele de revizuire continuă.
Auditor COBIT 2019	APO10 (Manage Suppliers), DSS04 (Manage Continuity)	Dovezi privind monitorizarea continuă a performanței în raport cu SLA-urile; documentarea modului în care sunt gestionate incidentele asociate furnizorilor; înregistrări ale revizuirilor riscurilor asociate furnizorilor și ale managementului schimbărilor.
DORA / Autoritate de reglementare financiară	Articles 28-30	Contractul cu furnizorul critic TIC, mapat la clauzele obligatorii DORA; evaluarea riscului de concentrare; dovezi privind testarea sau revizuirea strategiei de ieșire.
Auditor NIST SP 800-53	SA-9 (External System Services), familia SR (lanț de aprovizionare)	Dovezi privind planul de management al riscului lanțului de aprovizionare; înregistrări ale dovezilor de conformitate ale furnizorilor, de exemplu FedRAMP sau SOC 2; documentarea vizibilității asupra riscului din aval.
Auditor ISACA / IT	ITAF Performance Standard 2402	Jurnale care dovedesc revocarea promptă a accesului pentru personalul furnizorului a cărui colaborare a încetat; dovezi privind conturi unice, protejate prin MFA, pentru accesul terților; înregistrări de răspuns la incidente.

Această perspectivă din mai multe unghiuri arată că un program robust nu urmărește satisfacerea unui singur standard, ci construirea unui cadru holistic de guvernanță care generează dovezile necesare pentru toate cerințele relevante.

Capcane critice: unde eșuează auditurile furnizorilor

Multe programe de supraveghere a furnizorilor nu își ating obiectivele din cauza unor greșeli comune, care pot fi evitate. Acordați atenție următoarelor capcane critice:

Auditul tratat ca eveniment: bazarea pe audituri punctuale la integrare sau reînnoire, în locul implementării monitorizării continue.
Complacența față de certificări: acceptarea unui certificat ISO sau SOC 2 ca atare, fără revizuirea detaliilor raportului, a domeniului de aplicare și a excepțiilor.
Contracte vagi: omiterea clauzelor explicite și aplicabile privind drepturile de audit, notificarea încălcărilor de securitate și gestionarea datelor.
Management deficitar al inventarului: imposibilitatea de a produce un inventar complet, încadrat pe niveluri de risc, al tuturor furnizorilor și al datelor pe care aceștia le accesează.
Ignorarea riscului din aval: neidentificarea și negestionarea riscurilor generate de subcontractorii critici ai furnizorului, respectiv riscul asociat părților de rangul patru.
Managementul vulnerabilităților neverificat: presupunerea că furnizorul aplică patch-uri pentru vulnerabilitățile critice fără solicitarea de dovezi.

Listă de verificare operațională pentru auditurile furnizorilor cu risc ridicat

Utilizați această listă de verificare, adaptată din Zenith Blueprint, pentru a vă asigura că procesul de audit pentru fiecare furnizor cu risc ridicat este complet și defensabil.

Pas	Acțiune	Dovezi de colectat și păstrat
Verificare prealabilă	Efectuați și documentați o evaluare formală a riscurilor înainte de integrare sau reînnoire.	Fișă completată de evaluare a riscului furnizorului; înregistrare de clasificare; raport de verificare prealabilă.
Revizuire contractuală	Verificați existența și caracterul aplicabil al clauzelor de securitate, confidențialitate și audit.	Contract semnat cu clauzele evidențiate; aprobare a revizuirii juridice; acord de prelucrare a datelor.
Monitorizare continuă	Programați și desfășurați revizuiri trimestriale sau anuale pe baza nivelului de risc.	Procese-verbale de ședință; rapoarte SOC 2 / ISO 27001 revizuite; rezumate ale scanărilor de vulnerabilitate.
Supravegherea subcontractorilor	Identificați și documentați toți furnizorii critici din aval, respectiv părțile de rangul patru.	Lista persoanelor subîmputernicite furnizată de furnizor; dovezi ale clauzelor de transmitere a cerințelor de securitate.
Managementul vulnerabilităților	Solicitați dovezi ale unui program matur de management al vulnerabilităților.	Rezumat executiv recent al unui test de penetrare; exemple de rapoarte de scanare a vulnerabilităților; termene de aplicare a patch-urilor.
Raportarea incidentelor	Testați și validați procesul de notificare a incidentelor al furnizorului.	Înregistrări ale notificărilor de incidente anterioare; SLA-uri documentate privind notificarea încălcărilor de securitate.
Managementul schimbărilor	Revizuiți toate schimbările tehnice sau organizaționale semnificative la nivelul furnizorului.	Jurnale ale schimbărilor furnizorului; rapoarte de reevaluare a riscurilor declanșate de schimbări.
Mapare reglementară	Mapați controalele implementate direct la cerințele NIS2, DORA și GDPR.	Tabel intern de mapare a conformității; jurnal de dovezi pentru autoritățile de reglementare.

Concluzie: construirea unui lanț de aprovizionare rezilient și defensabil

Epoca conformității prin bifarea căsuțelor pentru furnizorii critici s-a încheiat. Examinarea riguroasă impusă de reglementări precum NIS2 și DORA cere o schimbare fundamentală către un model de asigurare continuă, bazată pe dovezi. CISO precum Maria trebuie să conducă tranziția organizațiilor lor dincolo de chestionarul static.

Prin construirea unui program pe ciclul de viață consacrat al controalelor ISO/IEC 27001:2022, creați un cadru care nu este doar conform, ci și realmente eficace în reducerea riscurilor. Aceasta presupune tratarea securității furnizorilor ca disciplină strategică, includerea cerințelor aplicabile în contracte și menținerea unei supravegheri atente pe întreaga durată a relației.

Securitatea organizației dumneavoastră este la fel de puternică precum cea mai slabă verigă, iar în ecosistemul interconectat de astăzi, acea verigă se află adesea la un terț. Este momentul să recâștigați controlul.

Sunteți gata să depășiți chestionarul?

Seturile integrate de instrumente Clarysec oferă fundamentul de care aveți nevoie pentru a construi un program de management al riscurilor asociate furnizorilor de nivel înalt, capabil să reziste oricărui audit.

Descărcați șabloanele noastre de politici: implementați un cadru robust de guvernanță cu Politica de securitate privind terții și furnizorii de nivel enterprise și versiunea sa corespunzătoare pentru IMM-uri.
Urmați Zenith Blueprint: utilizați Zenith Blueprint: An Auditor’s 30-Step Roadmap pentru a implementa și audita un SMSI conform, cu pași dedicați pentru stăpânirea riscului asociat furnizorilor.
Valorificați Zenith Controls: solicitați o demonstrație pentru Zenith Controls: The Cross-Compliance Guide pentru a mapa controalele privind furnizorii la NIS2, DORA, GDPR, NIST și altele, asigurând un plan de audit complet și defensabil.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council